一開始把Snort跟Snort-MySQL兩種版本搞錯, Snort-MySQL如同名稱利用MySQL來把LOG整理放入MySQL做整理有更佳的閱讀性,畢竟不是每個管理者都有閒去看文字檔XD
Snort請按照自己喜歡及官網有支援的平台去安裝以下安裝方式算是蠻快的(約30分鐘到一小時內架設完成).
首先我們先從動態網頁伺服器安裝開始,作業系統平台:Ubuntu Server 12.04 LTS
1.?sudo tasksel後選擇安裝LAMP Server就可以安裝完成,特別注意安裝過程中會設定MySQL的root密碼.
接著安裝Snort-MySQL
1.?sudo apt-get install snort-mysql -y安裝過程會詢問要偵測內部網路的IP範圍.
2.設定Snort-MySQL的資料庫
?mysql -u root -p
mysql>create database snort;
mysql>quit
3.設定Snort-MySQL的資料表
?cd /usr/share/doc/snort-mysql/
?zcat create_mysql.gz|mysql -u root -h localhost -p snort
4.調整Snort-MySQL資料庫設定
?sudo vi /etc/snort/database.conf
在output database:log,mysql,後加上user=root password=剛剛設定MySQL root的密碼 dbname=snort host=localhost
5.確認Snort-MYSQL的內部網路偵測設定
?sudo vi /etc/snort/snort.conf 看一下ipvar HOME_NET這段IP位址是否是您需要偵測的IP位址.
6.到Snort官網註冊一個帳號為了要取得Snort的偵測規則,登入帳密後請點選Get an Oinkcode.
7.編輯oinkcode.conf內設定來取得Snort官網提供的偵測規則.
?sudo vi /etc/oinkcode.conf把有url=www.snort.org/pub-bin/oinkmaster.cgi/剛剛取得的oinkcode/snortrules-snapshot-可用版本(剛剛取得Oinkcode時官網也有教學).
8.套用Snort官網規則
?sudo oinkmaster -o /etc/snort/rules/這裡如果有錯誤請檢查步驟7.
9.測試規則
?sudo snort -T -c /etc/snort/snort.conf
10.啓動snort
?snort -D -c /etc/snort/snort.conf這裡啟動後可以到/var/log/snort/alert內去看文字檔,當然我們要繼續往下做出圖形界面.
11.安裝圖形界面管理Snort-MySQL
?sudo apt-get install acid base照預設值就可以下一步會手動再調整(MySQL密碼就自行輸入).
12.手動修改acidbase的apache2設定
?sudo vi /etc/acidbase/apache.conf內allow from這行改成管理者IP
13.重新啟動apache服務
?sudo service apache restart
14.手動修改acidbase的MySQL設定
?sudo vi /etc/acidbase/datebase.php內的alert_user改成root其他的再確認一下有無錯誤.
15.登入http://Snort-MySQL主機ip/acidbase就能看到圖形化的界面,開始做基本設定請點選Setup page,再點選Create BASE AG建立BASE要使用的資料表後,就放著觀察內部網路狀況了.
16.啟動Snort服務:snort -D -c /etc/snort/snort.conf
參考連結1:http://download.ithome.com.tw/article/index/id/1109
參考連結2:http://www.bankshung.com/2012/09/snort-mysql.html
參考連結3.http://www.bankshung.com/2012/09/snort.html
參考連結4.http://download.ithome.com.tw/article/index/id/1144
沒有留言:
張貼留言